使用Powershell从非域控制器获取AD帐户的身份验证委派设置

Question

我在连接到AD的计算机上具有管理员权限。但我在域控制器上没有权限。

使用PowerShell是否可以从我的管理员计算机获取AD帐户的所有身份验证委派设置？如果可能的话，怎么做？

我所说的委派设置是指AD帐户的委派选项卡，用于Kerberos身份验证。下面是我所提到的内容的快照。目前，我可以看到帐户可以提供委派凭据的服务很少，但不是所有服务，因为我无法向下滚动列表，因为它是灰色的。

​

​

Answer 1

Get-ADObject -Filter {name -eq "yoursamaccountname"} -Properties msDS-AllowedToDelegateTo

Answer 2

Get-ADUser -Filter {SamAccountName -eq "YourAccountSamName"} -Properties msDS-AllowedToDelegateTo | Select-Object -ExpandProperty msDS-AllowedToDelegateTo

它将列出该帐户可以提供委派凭据的所有服务

Answer 3

不幸的是，Neroon的答案对我不起作用，但我为AD用户提出了一个解决方案，可以在其他人寻找它的情况下工作：

Get-ADUser -filter { SamAccountName -eq "YouAccountSamName" } -Properties TrustedForDelegation | Select SamAccountName, TrustedForDelegation | FT -A

对于多个用户：

$users = @('user1', 'user2')
$users | ForEach {Get-ADUser -filter { SamAccountName -eq $_ } -Properties TrustedForDelegation} | Select SamAccountName, TrustedForDelegation | sort -property SamAccountName | FT -A